Armada Collective を名乗る攻撃者からの DDoS 攻撃に関する情報
最終更新: 2017-06-29
2017年6月20日頃より、中国や韓国の証券会社や銀行など複数の金融機関が DDoS 攻撃の被害を受けていると報道されています。報道されている情報からは、攻撃を受けた金融機関では、Armada Collective を名乗る攻撃グループから、DDoS 攻撃の停止と引き換えに金銭を要求するメールが送られていたのことです。JPCERT/CCでも、似たような相談を受けています。
Armada Collective からの脅迫メールの例 (公開情報より特徴を取り出し再現したもの)
Subjectの例:『Ransom request: DDoS Attack!!!』
JPCERT/CCにて収集した、中国および韓国で報道された攻撃に関する公開情報をまとめると次のとおりです。なお、報道等の公開情報の情報源は、多岐に及ぶため省略いたします。
(中国)
- 6月15日頃に、証券会社などの金融機関に対して、6月21日を期限とする脅迫メールが送付されている
- 6月16日に 40Gbps 弱の DDoS 攻撃を受けた機関があるとされている
- 6月20日の報道によれば、少なくとも 6社の金融証券系企業がメールを受信し、そのうち 4社が 2Gbps から 20Gbps 規模の DDoS 攻撃を受けたとされている
(韓国)
- 6月21日に、主要都市銀行、証券会社、取引所の計 7社に対して、6月26日を期限とする脅迫メールが送付されていることを金融監督院が公表した (26日に報道された情報によれば、都市銀行 7社、韓国取引所、証券会社 2社、計 10社に上り、新たに 7月3日を期限とする脅迫メールも確認されている)
- 6月20日および 21日に、テスト的な攻撃を受けたとされている
- 6月21日に、15分程度、最大 10Gbps 以下の SYN flood 攻撃や、NTP リフレクション攻撃を受けたとされている
- 6月26日に、金融機関4組織が DDoS 攻撃を受け、28日も攻撃が予測されていたが、攻撃はみられなかったとされている
JPCERT/CCに寄せられた近隣諸国からの情報などからも、Armada Collective からのメールを受け取った組織において、DDoS 攻撃を受ける可能性は高いと考えられます。また、韓国の KrCERT/CC からは、注意が示されています。
KrCERT/CC
해커그룹 'Armada Collective'의 비트코인 요구 협박 및 DDoS 공격 주의
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25964
サイバー攻撃は必ずしもマルウエアによるものだけとは限りません。各組織においては、DDoS 攻撃への備えや体制についても確認することをおすすめします。
また、自身の管理するサーバやルータなどが、DDoS 攻撃の踏み台とならないよう適切に設定してください。
JPCERT/CC
ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140001.html
JPCERT/CC
DNSの再帰的な問い合わせを使ったDDoS攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130022.html
今回の件について、提供いただける情報がありましたら、当グループまでご連絡ください。今後、一定の情報収集と分析が整った段階で注意喚起を発行する場合があります。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ